Mlflow
Уязвимости
74
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.89716
Распределение по критичности
Критический
17
Высокий
45
Средний
10
Низкий
2
Затронутые диапазоны версий
1.0.0–2.9.22.17.0–2.20.13.8.0–3.8.1< 1.23.1< 2.0.1< 2.10.0< 2.11.3< 2.12.1< 2.16.0< 2.19.0< 2.2.1< 2.2.2< 2.3.1< 2.5.0< 2.6.0< 2.8.1< 2.9.0< 2.9.2< 2025-06-10< 3.1.0< 3.10.0< 3.11.0< 3.4.0< 3.5.0
Также сопоставлено как (исходные строки): mlflow
Топ уязвимостей
CVE-2025-15036Уязвимость к трайулу существует в функции `extract_archive_to_dir` в файле mlflow/mlflow/pfance/dbconnect_artifact_cache.py` хранилища mlflow/mlflow. Эта уязвимость, присутствующая в версиях до v3.7.0, возникает из-за отсутствия валидации путей смолы во время извлечения. Злоумышленник с контролем над файлом tar.gz может использовать эту проблему для перезаписи произвольных файлов или получения повышенных привилегий, потенциально выходя из каталога песочницы в многоквартирных или общих кластерных средах.
CVE-2023-3765Обход абсолютного пути в репозитории GitHub mlflow/mlflow до версии 2.5.0.
CVE-2026-0545В mlflow/mlflow конечные точки работы FastAPI в разделе `/ajax-api/3.0/jobs/*` не защищены аутентификацией или авторизацией, когда включено приложение «базовый-авто». Эта уязвимость затрагивает последнюю версию репозитория. Если выполнение работы включено (`MLFLOW_SERVER_ENABLE_JOB_EXECUTION=true`) и любая функция работы разрешена, любой сетевой клиент может отправлять, читать, искать и отменять работу без учетных данных, полностью обходя основную работу. Это может привести к неаутентифицированному удаленному исполнению кода, если разрешенные рабочие места выполняют привилегированные действия, такие как выполнение оболочки или изменения файловой системы. Даже если рабочие места считаются безопасными, это по-прежнему представляет собой обход аутентификации, что потенциально приводит к спаму на работе, отказу в обслуживании (DoS) или воздействию данных в результатах работы.
CVE-2025-15379Уязвимость инъекции команд существует в модели MLflow, обслуживающей код инициализации контейнера, в частности, в функции `_install_model_dependencies_to_env()`. При развертывании модели с `env_manager=LOCAL` MLflow считывает спецификации зависимости из файла артефакта `python_env.yaml` модели и напрямую интерполирует их в команду оболочки без санации. Это позволяет злоумышленнику поставлять вредоносный образец артефакт и достигать произвольного выполнения команды на системах, которые развертывают модель. Уязвимость затрагивает версии 3.8.0 и фиксируется в версии 3.8.2.
CVE-2025-11201MLflow Tracking Server Модель Создание Каталог Проходное Удаленное Исполнение Кода Уязвимость. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках MLflow Tracking Server. Аутентификация не требуется для использования этой уязвимости.
Удельный недостаток существует в обработке типовых путей файлов. Проблема возникает из-за отсутствия надлежащей проверки используемого пользователем пути до его использования в файловых операциях. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте учетной записи службы. Это был ZDI-CAN-26921.
CVE-2025-11200MLflow Слабые Требования К Аутентификации Обход Уязвимости. Эта уязвимость позволяет удаленным злоумышленникам обходить аутентификацию на затронутых установках MLflow. Аутентификация не требуется для использования этой уязвимости.
Удельный недостаток существует в обработке паролей. Проблема возникает из-за слабых требований к паролям. Злоумышленник может использовать эту уязвимость для обхода аутентификации в системе. Это был ZDI-CAN-26916.
CVE-2023-6975Злоумышленник может использовать эту проблему для получения выполнения команд на уязвимой машине и получения доступа к данным и информации о моделях.
CVE-2023-6974Злоумышленник может использовать эту проблему для доступа к внутренним HTTP(s) серверам, и в худшем случае (например, экземпляр AWS) это может быть использовано для получения удаленного выполнения кода на машине жертвы.
CVE-2023-6018Злоумышленник может перезаписать любой файл на сервере, на котором размещен MLflow, без какой-либо аутентификации.
CVE-2023-6014Злоумышленник может произвольно создать учетную запись в MLflow, обойдя любые требования аутентификации.
CVE-2023-2780Path Traversal: '\..\filename' в репозитории GitHub mlflow/mlflow до версии 2.3.1.
CVE-2023-1177Повреждение пути: '\..\filename' в репозитории GitHub mlflow/mlflow до версии 2.2.1.
CVE-2024-27133Недостаточная очистка в MLflow приводит к XSS при запуске рецепта, использующего ненадежный набор данных. Эта проблема приводит к RCE на стороне клиента при запуске рецепта в Jupyter Notebook. Уязвимость возникает из-за отсутствия очистки полей таблицы набора данных.
CVE-2024-27132Недостаточная очистка в MLflow приводит к XSS при запуске ненадежного рецепта.
Эта проблема приводит к RCE на стороне клиента при запуске ненадежного рецепта в Jupyter Notebook.
Уязвимость возникает из-за отсутствия очистки переменных шаблона.
CVE-2024-3573mlflow/mlflow уязвим для включения локальных файлов (LFI) из-за неправильного анализа URI, что позволяет злоумышленникам обходить проверки и читать произвольные файлы в системе. Проблема возникает из-за того, что функция is_local_uri не может правильно обрабатывать URI с пустыми или файловыми схемами, что приводит к неправильной классификации URI как нелокальных. Злоумышленники могут использовать это, создавая вредоносные версии моделей со специально созданными параметрами «source», позволяя читать конфиденциальные файлы как минимум в двух уровнях каталогов от корня сервера.
CVE-2025-15031Уязвимость в процессе извлечения pyffnc MLflow позволяет выполнять произвольные записи файлов из-за неправильной обработки записей архива смолы. В частности, использование «tarfile.extractall` без проверки пути» позволяет создавать файлы tar.gz, содержащие `... или абсолютные пути, избежать предполагаемого каталога извлечения. Эта проблема затрагивает последнюю версию MLflow и представляет высокий/критический риск в сценариях, связанных с многопользовательскими средами или проглатыванием недоверенных артефактов, поскольку это может привести к произвольным перезаписям файлов и потенциальному удаленному исполнению кода.
CVE-2026-2651Выполнение произвольного кода в MLflow
CVE-2025-14287Уязвимость инъекции команд существует в версиях mlflow/mlflow до v3.7.0, в частности в файле `mlflow/sagemaker/__init___.py` на линиях 161-167. Уязвимость возникает в результате прямой интерполяции названий изображений контейнеров, поставляемых пользователем, в команды оболочки без надлежащей санитарии, которые затем выполняются с использованием `os.system()`. Это позволяет злоумышленникам выполнять произвольные команды, поставляя вредоносный ввод через параметр '-container` CLI. Проблема затрагивает среды, где используется MLflow, включая настройки разработки, конвейеры CI/CD и развертывание облаков.
CVE-2024-37061Удаленное выполнение кода может произойти в версиях платформы MLflow, начиная с версии 1.11.0, что позволяет вредоносно созданному MLproject выполнять произвольный код в системе конечного пользователя при запуске.
CVE-2024-37060Десериализация ненадежных данных может произойти в версиях платформы MLflow, начиная с версии 1.27.0, что позволяет вредоносно созданной Recipe выполнять произвольный код в системе конечного пользователя при запуске.
CVE-2024-37059Десериализация ненадежных данных может произойти в версиях платформы MLflow, начиная с версии 0.5.0, что позволяет вредоносно загруженной модели PyTorch выполнять произвольный код в системе конечного пользователя при взаимодействии с ней.
CVE-2024-37058Десериализация ненадежных данных может произойти в версиях платформы MLflow, начиная с версии 2.5.0, что позволяет вредоносно загруженной модели Langchain AgentExecutor выполнять произвольный код в системе конечного пользователя при взаимодействии с ней.
CVE-2024-37057Десериализация ненадежных данных может произойти в версиях платформы MLflow, начиная с версии 2.0.0rc0, что позволяет вредоносно загруженной модели Tensorflow выполнять произвольный код в системе конечного пользователя при взаимодействии с ней.
CVE-2024-37056Десериализация ненадежных данных может произойти в версиях платформы MLflow, начиная с версии 1.23.0, что позволяет вредоносно загруженной модели LightGBM scikit-learn выполнять произвольный код в системе конечного пользователя при взаимодействии с ней.
CVE-2024-37055Десериализация ненадежных данных может произойти в версиях платформы MLflow, начиная с версии 1.24.0, что позволяет вредоносно загруженной модели pmdarima выполнять произвольный код в системе конечного пользователя при взаимодействии с ней.